电子支付的安全问题范文

时间:2023-12-26 18:05:31

导语:如何才能写好一篇电子支付的安全问题,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

电子支付的安全问题

篇1

关键词:电子支付系统;安全问题;对策

中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 18-0000-01

Electronic Payment System Security Analysis and Techniology Measures

Cha Yuxiang

(Jiujiang Vocational College,Jiujiang 332000,China)

Abstract:Due to the openness of the Internet,making e-payment security,payment security than traditional banks problem is more serious,more complex.This paper summarizes the characteristics of e-payment,a security analysis of their problems,and to further explore the online electronic payment system security technical methods.

Keywords:Electronic payment system;Security Issues;Measures

一、前言

互联网的开放性特点决定了网上电子支付的安全问题就远比传统银行支付的安全问题要严重、复杂。电子支付是电子商务的核心环节,它的安全完成是电子商务成功实现的最基本保障。因此,要想电子商务得以顺利进行,就必须构建一个完善的安全控制系统,收集、分析和鉴别网上交易信息的真实性,解决非法交易对电子支付带来的安全问题。

二、电子支付系统安全问题分析

(一)来自互联网的风险。电子支付系统都是通过互联网与银行发生关系,而由于互联网自身的自由性、广泛性等特点,自然容易受到恶意入侵者的攻击。据有关调查,目前国内的网站中约有80%存在着安全隐患,约20%的网站存在着严重的安全问题。国内曾发生过多起证券交易系统被侵入事件。犯罪分子挪用、盗取他人股票账户资金,盗买盗卖他人股票,属于恶性计算机犯罪,对社会产生了极坏的影响。虽然到目前为止国内还没有黑客成功入侵银行网站的案例,但是许多客户仍然心存顾虑,不敢轻易用互联网传递自己的信用卡账号和密码等关键信息。由于网络安全问题尚未能够得以彻底完好的解决,利用互联网进行犯罪的案例很有可能将日益增多。这些网络安全问题为电子支付带来了安全风险,严重制约了网上银行的业务发展,制约了电子商务行业的发展。

(二)来自银行内部的风险。据调查统计,在已发生的网络安全案例中,70%的攻击来自单位内部,因此内部网的安全风险更为严重。首先,银行内部员工对自身企业网络结构、应用比较熟悉,自己攻击或内外勾结,故意泄露重要信息,都将可能成为导致系统受攻击的最致命的安全威胁。其次,大部分银行系统都发展到全国联网,分布全国各地,范围很广,各级银行独立核算。因此,对于每一个区域银行来说,其他区域银行都存在相对不信任因素,同样存在着安全风险。

(三)来自银行以外企业和事业单位的风险。近年来,银行系统在不断地增加中间业务,和服务功能,比如代收水电费、电话费、学费、保险费以及证券转账等诸多业务。因此,就与电信局、学校、保险公司和证券交易所等许多单位网络互联。由于银行与这些单位之间可能存在某些不信任因素,因此,它们之间的互联,为银行网络系统带来了许多外单位的安全威胁,成为电子支付安全的隐患。

以上三方面安全威胁可能引发的结果有:恶意破坏数据、非法使用资源、数据篡改或窃取等。从技术层面讲,网上支付的安全性主要表现在对交易信息和支付信息的安全认证,加密保存、传送,防止否认以及完整性控制等方面。

三、应对电子支付系统的安全问题的技术策略

要想保证电子商务活动的安全、顺利地进行,保证我国电子商务行业的健康发展,就必须探讨出适合我国的具体国情的网上电子支付运作机制并探求能提高其安全的技术措施。

(一)加强网络安全。网络安全的加强可以通过加强访问控制、网络结构安全、网络安全评估和安全检测等途径来实施。1.访问控制。银行系统若需要连接因特网,则其业务系统网络就必须同因特网进行物理隔离:两个网络间完全断开或使用物理安全隔离卡。另外,内部局域网内可通过交换机划分VLAN功能进行不同级别用户、不同部门间的简单访问控制。再有,内部局域网与不信任域网、外单位网络之间可通过架设防火墙进行隔离和访问控制。2.网络结构安全。网络结构安全体现在网络结构布局的合理性,表现为对与外单位互联的接口网络、办公网和银行系统业务网间按各自的安全保密程度和应用范围进行合理布局,确保不会因为安全性较低的局部网络出安全问题而波及整个网络。3.网络安全评估。成功的黑客攻击绝大部分是对系统或网络的安全漏洞进行攻击的。而网络安全性扫描分析系统则可以检查系统的漏洞与弱点,并提出安全策略与补救措施,增强网络的安全性。4.安全检测。为了保障系统的安全,安装入侵检测系统不仅可以对进出的网络数据流进行实时分析,还能对网络违规事件进行跟踪、进行实时报警、及时阻断连接、做日志,既可以应付往外的攻击,还可以阻止内部人员发起的攻击。

(二)增强信息鉴别能力。数据的完整与真实也是系统的安全的重要部分,故必须增强信息鉴别能力,分辨数据是否完整、真实。数据在传输时有时会被非法篡改甚至窃取等,要保证数据完整、真实,就要采用信息鉴别技术,如安装VPN设备、数据源身份认证等。当原始数据包进入VPN设备时,它可先加密数据,再用HASH函数对其进行运算,并将产生的信息摘要同加密数据一并发到目的方的VPN加密设备。目的方的VPN加密设备又先解密已加密的数据包,再用HASH函数运算解密后的数据,然后将所产生信息摘要同所收到的信息摘要对比,若两信息摘要完全相同,则表明所解密的数据的完整性没有被破坏,是原始数据,否则就表明该数据已被非法篡改甚至窃取。

(三)安全认证。支付系统的安全肯定要依赖加密系统,加密就需要密钥,而密钥的产生、管理和颁发均存在安全隐患。发放密钥往往是以证书的方式来实现,故就要解决证书的发送方同接收方怎样确认对方的证书的真实性问题,引入第三方来发放此证书恰好能因应之。各银行联合构建一权威认证机构(CA认证中心),建立银行系统的CA系统,借以实现此系统内证书的发交和业务的安全交易。

参考文献:

[1]李早水.电子支付系统的安全问题分析及对策研究[J].信息与电脑(理论版),2011,11-15

[2]豆根生,任铭,袁超.浅谈电子商务中的支付安全技术[J].科技信息,2010,7-10

[3]刘纪峰.浅析我国电子商务支付系统及安全问题[J].网络财富,2010,13-16

篇2

关键词:电子商务 网上支付 技术基础 电子数据

目前,我国电子商务的B2C、B2B以及C2C模式都可以实现在线支付,突破了电子商务资金流的瓶颈。然而,在线支付同时也引发了支付安全问题,“身份”认证、电子文件认证和网络银行在线支付的法律问题以及税收、货币、金融监管等一系列问题。

电子商务网上支付的技术基础

电子数据交换是将商业事务处理数据按照一个公认的标准,形成结构化的事务处理报文数据格式,通过电子方式在计算机系统之间进行传输。因此,企业间开展电子数据交换除了自身必须应用计算机系统外,还必须同时具备两个条件:通信网络和数据标准。

(一)电子数据交换的环境

通信网络是实施电子数据交换不可缺少的工具。在互联网出现之前,企业内的数据交换主要在商用增值网上进行。增值网供应商提供的主要业务有:私人业务、综合业务、不拒绝业务和验证业务。私人业务是指增值网保证信息只能由指定的接收者阅读,他人无法看到;综合业务是指如果没有人看信息,则信息从发送端到接收端的过程中不发生变化;不拒绝业务是指发送端不能拒发,接收端不能拒收,并通过旁听跟踪来实现;验证业务则保证信息从指定的发送端发送。通过增值网实施数据传输,安全可靠,传输效率高。企业间业务往来中的格式化数据都可通过增值网传输,包括采购进货单、退货单、发货单、报价单、托运单、对账单、单价单、缺货通知单、付款明细表等。另外,还可在海关申报、电子对账、电子转账、保险等事务处理中传输格式化单据。

开展电子数据交换的关键是标准化问题,包括数据格式标准化和报文标准。由于不同行业、不同企业都是根据自己的业务特点设计数据库结构,当需要发送电子数据交换文件时,需要通过软件提取数据库中的数据,并自动将其翻译成统一的标准格式才能传输和被对方接收。电子数据交换标准主要有以下四项:网络通信标准、处理标准、联系标准、报文标准。综观电子数据交换标准的发展过程,大致经历了三个发展阶段:行业标准阶段、国家标准阶段、国际标准阶段。

(二)SSL安全协议

安全套接层协议(Secure Socket Layer,简称SSL)是由网景(Netscape)公司推出的一种安全通信协议,它能够对信用卡和个人信息提供较强的保护,是对计算机之间整个会话进行加密的协议。在SSL协议中,采用了公开密钥和私有密钥两种加密方法,主要用于提高应用程序之间数据的安全系数。协议的整个要领可以被总结为:一个为安装了安全套接层的客户和服务器提供事务安全保证的协议,它涉及所有TCP/IP应用程序。

(三)SET安全协议

安全电子交易协议(Secure Electronic transaction,简称SET)是由Visa和Master Card 两大信用卡公司联合推出的规范。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份,以及可操作性。SET的核心技术主要有公开密匙加密、电子数字签名、电子信封、电子安全证书等。SET协议比SSL协议复杂,因为前者不仅可以加密两个端点间的单个会话,它还可以加密和认定三方间的多个信息。

电子商务网上支付的风险

电子商务网上支付风险从整体上可分为两大部分:计算机网络风险和商务交易风险。

(一)计算机网络风险

计算机网络风险包括:计算机网络设备风险、计算机网络系统风险、数据库风险等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。

另外,不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。网络软件的漏洞是进行网络攻击的首选目标。此时计算机网络风险主要有:未进行CGI程序代码审计、拒绝服务攻击、安全产品使用不当、缺少严格的网络安全管理制度。

(二)商务交易风险

商务交易风险是传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上保障电子商务过程的顺利进行,即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。电子商务的形式多样,涉及的安全问题各不相同,但其中最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患:窃取信息、篡改信息、假冒、恶意破坏。

电子商务网上支付安全的强化策略

在传统支付系统中,伪造现金、伪造签名、拒付支票等是商品交易中的风险。在电子支付系统中,由于知道私钥的任何人都能以买方的身份产生数字签名,连续购买行为之间的关系可以被跟踪出来,电子数字文档复制不影响原文档,所以,电子支付系统存在着与传统支付系统类似的风险,而且风险可能更大。

电子支付系统的基本安全需求可以总结为:买方与卖方都必须证明自己的支付身份;要求支付交易数据不可受到非授权的参与方的更改;确保在未经用户明确授权之前不能从该用户的账户或智能卡中提取任何现金;一项或多项支付交易数据的机密性。强化安全管理需要从以下两个方面着眼:

(一)强化安全支付服务

首先,支付交易安全服务。支付交易安全服务涉及所有的电子支付系统和所有的支付手段,具体包括以下内容:用户匿名性、地址不可跟踪性、买方匿名性、支付交易不可跟踪性、支付交易数据的机密性、支付交易消息的不可否认性、支付交易消息的新鲜性。其次,数字货币安全。数字货币安全服务主要与数字货币相关,具体包括以下内容:防止再度花费、防止数字货币伪造、防止货币被盗。再次,电子支票附加服务。电子支票附加服务基于以电子支票作为支付手段的支付系统的特定技术,其主要内容是支付授权转账(),即使某一授权的参与方可以将支付授权转移给他所选定的另一参与方。

上述三种数字货币安全服务在一定程度上是相互冲突的,但在实施的同时可以达到风险与保护的平衡。例如,可以将这三种服务设置成仅当非法事件发生的时候才起作用(如有条件的匿名性)。

(二)强化企业内部的安全管理

首先,网络安全管理。网络安全管理主要包括以下内容:安全服务管理、安全机制管理、安全审计管理、安全恢复管理等。其次,保密设备与密钥的安全管理。保密设备的使用,应与网络中保护对象的密级相一致。密码算法、密钥和保密协议是核心内容,同步技术和操作方式的选择也相当重要。保密设备的管理主要包括保密性能指标的管理,工作状态的管理,保密设备的类型、数量、分配和使用者的状况,以及密钥的管理等。再次,安全行政管理。安全行政管理的重点是:安全组织机构的设立、安全人事管理、安全的责任与监督等。

电子商务网上支付安全的相关法律问题

(一)电子数据的特征

电子商务不是以纸张作为记录的原始凭证,而是将数据记录在计算机系统中的磁(光)性信息载体上。电子数据极大地改变了传统书面数据的生成方式和存在方式,由于其不同于书面数据的特征,也改变了法律对其证据效力的规定。电子数据具有以下特征:第一,无形性。电子数据实质上是计算机存储介质中的一组电子信息,具有无形的特点。第二,不稳定性。传统的书面数据一旦形成,其形态和内容不再发生变化,除非遭受不可抗拒的灾害事故。第三,易改动性。传统书面数据一旦生成,具有不可改动性。如有改动也容易留下修改痕迹。第四,技术性。电子数据的生成、确认、传递、储存,以及为了保证它的可靠性、安全性、完整性和可验证性等,都是建立在一系列的高技术之上的。

从某种意义上讲,上述问题的存在也阻碍了会计无纸化的发展。如果电子数据的可靠性、机密性、完整性、可验证性得不到确定的保障,那么开展电子商务进行无纸化交易是不可能的。即使采取了现代化的网络通信手段,人们仍离不开纸质凭证。

(二)电子数据的数字签名技术

数字签名实际上是电子数据文件中一组用二进制数0、1表示的字符串。它是通过加密技术,在发送方和接收方之间经过加密、解密转换实现。基本原理是:报文发送方用散列算法从报文中生成一个固定长度的报文摘要(散列值),然后用私有密钥对报文摘要进行加密形成发送方数字签名并发送;接收方用同样的散列算法计算原报文的报文摘要,再用公用密钥对附加的数字签名进行解密,如果两个报文摘要相同,就确认该报文由数字签名方发送。

数字签名可以实现以下功能:一是接收方能够核实发送方对报文签名的真实性;二是发送方事后无法抵赖对报文的签名;三是接收方无法伪造对报文的签名。也只有同时具备以上三条,才能保证数字签名的有效性、可靠性。

(三)电子数据的法律承认

完善的技术是电子数据普及使用的基础。但电子数据要得到社会的认可,首先要取得法律上的承认,使其具有法律效力。由于电子商务没有国界,有关电子商务的法律需要考虑全球普遍性,建立电子商务的法律环境已受到各国的重视。联合国国际贸易法委员会在1996年通过的《电子商务示范法》为各国电子商务立法提供了范本。我国于1999年3月通过了新的《合同法》,也第一次承认了电子商务合同在我国的法律地位。然而,完善法规应注意以下问题:

电子商务环境下的电子数据已不同于任何传统意义上的书面形式。是取消书面形式的提法还是扩大书面形式的定义,是电子商务立法中面临的问题。根据功能等同法原理,把符合书面形式功能的东西视同书面形式,是目前普遍采用的做法。

在许多国家的法律中,涉及证据时都要求提供原件。原件具有独一无二的特征,会计上的原始凭证一般都要求是原件。电子商务环境下的电子数据是记录在计算机内的一串字符,传送给接收方的也是一串字符,不可能具备独一无二的特征。从某种意义上讲,电子数据不存在“原件”问题,因此,法律需要对此做出相应的规定。

电子数据(尤其是电子合同)的生效时间和地点在电子商务活动中具有重要法律意义。在传统的商务环境中,不同国家的法律对此有不同的规定。例如,英美法系国家采取“发出生效规则”,大陆法系国家则采取“到达生效规则”。由于电子数据可在任何时间、任何地点发送,具有较大的不确定性。因此,到达生效规则更适合于电子商务活动。

签名是交易合同和单据生效的必备条件。传统的书面签字是指某具体人在交易合同和单据上亲笔写上自己的姓名或所代表的单位名以示确认,并开始承担相应责任。然而传统的签字方法无法应用在电子数据文件上。

参考文献

1.段满珍,曹会云.制约我国电子商务发展的若干问题[J].河北理工大学学报(社科版),2008(2)

2.王崇哲,王雁.实行付款凭单制有效控制购货款结算[J].商业研究,2000(2)

篇3

摘要:电子支付以其方便快捷、省时省力,降低交易成本、减少现金流、提高交易透明度等优势成为金融交易的重要方式,但当前电子支付还存在诚信度不够高、交易安全性不够强以及实用性还有待提高等问题,因此,应当提高电子支付立法的位阶,加强网络安全技术,在交易过程中增强税控监督,在立法过程中应平衡好商家与消费者的权益,从而推动电子支付立法的进程。

关键词:电子支付;立法规制;解决;完善

又是一届两会时,围绕着国计民生的各种议题纷纷新鲜出炉,引得举国侧目。据报道,2012年全国两会期间,人大代表、中国移动广东公司总经理徐龙表示,现有信息系统安全问题严重,尤其是电子支付诚信度不够高、交易安全性不够强,他建议,要尽快制定《中华人民共和国电子支付法》,以促进电子商务健康发展。专家意见,该提案对促进电子商务的可持续发展有积极作用,有利于对这个行业的规范,同时增强广大用户对电子商务发展的信心。在这里,我们可以感觉到,信息时代的来临对立法工作又提出了新的要求。

进入比特时代,网络正在深刻而又潜移默化的影响着我们的生活方式,电子支付手段的出现正是这一影响在日常贸易领域的体现。电子计算机技术与网络通信技术的飞速发展为电子商务提供了强有力的技术支持,在电子支付方面显得尤为突出,其被赋予了方便快捷、省时省力,降低交易成本、减少现金流、提高交易透明度等不可比拟的优势之后,几年前还被视为“鸡肋”的电子支付转眼变为投资新宠。但是,电子支付蓬勃发展的同时所存在的一些问题也是无法回避的,正如徐龙代表所说的“电子支付规模大但不规范”,这也是他提出制定《电子支付法》的直接动因。当前在电子支付过程中主要存在以下几大问题:

一是诚信问题。全国政协委员苏宁电器董事长张近东表示,诚信问题是我国电子商务发展的最大障碍,事实上,这也是互联网中最为突出的问题之一,是一系列矛盾的源头。寻根溯源,这与网络世界的特点有关。网络空间是由网址和密码组成的虚拟却客观存在的世界。在这个世界里,我们的感官被屏蔽,只能通过一些符号来了解对面的“他”。就电子支付而言,交易的双方“只闻其声不见其人”,大多数情况下甚至是连声音都听不到的,这种不能进行传统意义上互动的交易必然让人产生疑虑。就好像突然蒙住你的眼睛,然后让你走路一样,不管这条路你多么熟悉,心中总是无法完全释然的。从心理学角度来说,这是人自我保护的本能,我们总是习惯性的相信自己能够切实感觉到的人或事。

当今在某些电子交易领域出现“礼崩乐坏”“人心不古”的现象,诚信问题始终制约着电子支付的发展。因此,立法显得尤为重要,一方面建立惩罚制度,惩处一些诚信缺失行为,达到“杀一儆百”之效,使那些“不信之徒”变为“不法之徒”,减少电子支付中的不守信现象;另一方面就是通过法律的正面引导,使人们重新建立诚信信仰,从根源上切断“缺信”行为。目前,《电子签名法》、《电子支付指引》、《非金融机构支付管理办法》及其《实施细则》等几部法律法规的出台以及个人信用信息基础数据库的建立正是做这方面的尝试。与此同时,建立完备的第三方平台,提供第三方担保也是解决目前诚信薄弱的有效方法。如支付宝、安付通等网上支付平台就十分受用。

二是安全问题。伴随着诚信问题而来的就是安全问题,我们建议不仅要制定《电子支付法》,也应该制定一部《信息安全法》,这是基于现有信息系统安全存在严重问题的现状提出的。在电子商务支付领域,安全问题主要包括交易安全和信息安全。交易安全源于技术安全体系未成型。Web、防火墙技术、加密技术和强认证技术确实为电子支付提供了一定的技术保障,但是这整个交易链条还是漏洞百出,消费者和厂家、商家并没有真正意义上在一个完整的安全渠道内交易。不法分子利用这些漏洞,假冒商家骗取消费者钱财以及一些重要信息,给消费者造成了极大损失。电子商务支付的安全只能依靠两部分力量来维护,一是技术性安全体系,二是事后安全体系,即法律体系,而且,事实证明事后安全体系的构建已经远远超出“技术体系”的范畴,是对技术体系的有力补充。

三是实用性问题。实用性问题,具体来说就是电子支付系统的兼容性问题。在生活中我们常常会碰到这样的情况,你在某个网上商城选择好了商品,等到支付时你发现,该商城只支持支付宝或者只支持财付通,这就会让我们很尴尬。现实生活中只要有人民币我们就可以随时支付货款,不会存在货币不兼容的现象。所以,在实用性上电子支付系统要更加开放化、灵活化。各运营商相互之间或者在政府的协调下,要建立一个广泛合作的平台,各个支付系统之间要可以自由转换,这样才能真正达到自由贸易的目的。电子商务支付也才能真正找到属于自己的生存之道与传统支付手段分庭抗礼。

一部法律的出台总是在正反两种力量的交互推动下进行的的,通过上文的分析我们知道,今天,我们之所以对《电子支付法》千呼万唤,就是因为一方面电子支付前景广阔,而且事实上也正逐渐成为我们日常交易的重要手段,另一方面却也是问题多多,无法回避。在制定这部《电子支付法》的过程当中立法者还应当重点解决以下几个主要问题:

一是电子商务支付的立法位阶问题。徐龙代表在接受记者采访时说,诸如《电子银行业务管理办法》《电子银行安全评估指引》等几部已有的法规存在立法层级不高的问题,从根本上来说,这就是立法位阶的问题,这一点是毋庸置疑的。以网络为基础的电子商务肯定是要面向全国甚至全世界的,所以,我们可以想象,《电子支付法》至少应该是一部高层级的全国通用的法律。但网络是一个世界性的平台,电子支付涉及的可能是跨国甚至跨域业务,而在法律地域性的限制下,《电子支付法》对国外业务的监管只能“望洋兴叹”,立法者在制定这部法律时应该注意开放性、包容性和根本性的体现。同时要关注国际公约或者惯例中对类似事件的处理办法,在新法中吸收一定的国际元素,为今后的接轨埋下伏笔。

二是电子商务支付的税务监督问题。电子支付和传统支付相比较,呈现出较多优势,但是有一点,传统支付对于税收监管来说是十分有利的,而电子支付在这一点上似乎相对薄弱。当我们和商家面对面交易的时候,国家税务机关可以通过发票、增值税发票等一系列凭证来进行税务监督,但是我们在电子支付过程中却无法为相关部门提供全部的纳税信息,在一定程度上将对税收工作产生一定的影响。所以,新法应该对电子支付过程中的纳税问题进行明确的规定,并且从技术上和法律上予以保证。

三是立法过程中利益主体平衡的问题。在交易中,消费者显然是弱势群体。而当今电子支付手段的推广却并没有从消费者的需求出发,而是以商家利益为基点。无论是电子支付系统的技术特性还是推广方式都是以商家为中心,这对消费者是十分不利的。所以,新法应该平衡各方利益,从厂家、商家到第三方支付平台,再到消费者,在这个链条中,各方都应当作为平等主体通过合法与公平的途径来受益。

篇4

有人说,2005年是电子支付元年,而2006年则是支付市场充满悬念的一年,同时也是充满生机和“厮杀”的一年。2004年以前,中国市场上的第三方支付公司大约是10家,如今已经达到50多家,包括Yeepay、中国银联Chinapay、首信“易支付”、支付宝等。

可以说,这是相关政策尚不十分明朗的情况下,市场处于自发上升期时不可避免的“混乱”局面,这也验证了市场需求正在觉醒并逐渐变得多元化。

在政策法规和市场趋势的双重作用下,如果说以前电子支付处于1.0时代――以单纯支付网关为业务特色的话,2006年则是支付2.0时代的发端,以多元化平台和按需支付为业务的主要特征。2007年,电子支付逐渐走向成熟。

电子支付迎来两大拐点

从1998年招商银行开通网上银行算起,纯网关型支付业务经过近7年的发展,已经成为目前市场份额最大的支付方式。然而,这种定位为“中间件”或“插线板”的业务模式,技术门槛很低,显示出同质化竞争的倾向。

艾瑞市场咨询最新的调查数据预测,随着互联网的普及和电子商务的发展,我国的电子支付行业将快速增长。2005年,中国电子支付的市场规模为164亿元,年增长率高达122%; 2006年这一市场规模将达330亿元; 到2008年市场将会突破1000亿元。

电子支付市场的迅速扩大,随即带来了人们支付需求的日渐丰富,而纯网关型支付――一种缺乏增值服务的业务模式,已经不能满足市场的需求。从2006年开始,电子支付进入了2.0时代。

所谓的支付2.0时代,首先在市场角色上有了明确的界定,即非银行的金融增值服务商。2.0时代的支付摆脱了纯技术平台的形象,上升为一个提供完整的支付解决方案乃至电子商务解决方案的市场主体。

一方面,支付平台日趋多元化,互联网、手机、固话、小灵通等都成为支付终端,电话支付、手机支付、会员钱包支付、短信支付等全新的电子支付概念和应用层出不穷。另一方面,出现了将支付本身嵌入行业发展的例子,提供具有行业特性的支付模式。在这一方面,除了能为企业解决支付问题之外,也为企业提供了优化业务流程、提升服务品质的契机。

与电子支付1.0时代相比,2.0时代在内部因素和外部因素的双重作用下呈现出了6个显著趋势:政策规范化、市场良性化、手段多元化、服务增值化、应用行业化和需求定制化。与这6大特征相互呼应的就是两大拐点的到来。

一是政策拐点。2005年10月30日,中国人民银行向社会公布了《电子支付指引(第一号)》,对银行从事电子支付活动提出了指导性要求。如今,全国几十家电子支付公司紧盯央行,期待着《电子支付二号指引》的。二号文件尤为引人关注,因为它将包括对电子支付公司资质、服务以及风险控制方式等一系列方面的规定,并很可能因此决定电子支付企业的命运。

中国人民银行酝酿许久的《支付清算组织管理办法》以及相应的牌照发放问题也将于不久后揭晓。从这个角度看,一直处于灰色地带的电子支付将被正式纳入金融监管体系,并由此将支付市场的发展引入理性和规范的轨道。

二是市场机遇的拐点。这其中包括传统行业走向电子商务、行业应用大规模爆发以及终端市场觉醒三大内容。

进入按需支付的新时期

目前,能否帮助客户实现按需支付成为衡量支付企业是否具有核心价值的重要依据。

首先,支付需求不再局限于互联网,而是广泛地向传统行业渗透。随着经济发展和收入的提高,现金的使用频率呈现出降低的趋势。越来越多的传统行业向电子商务迈进,比如教育、出版、旅游行业,它们都需要电子支付的支撑,以便构建一个完整的电子商务循环链条。

其次,2006年支付行业一个显著的特点,就是应用日益以行业需求为导向。大规模的电子机票全面取代纸制机票,为电子支付提供了难得的发展机遇,并带动了固定电话等离线式电子支付的蓬勃发展。这也是行业变革首次引发的电子支付的大规模需求,这就要求各家支付企业根据行业特征来规划相应的支付产品,而不是简单地提供一个接口。

第三,电子支付正逐步走向个人。在美国等电子支付发展得比较成熟的国家,2/3的电子支付交易额是由个人用户带来的,中国也正显示出相同的趋势。人们日常生活中常见的水费、电费、煤气费、手机费的缴纳,都开始与电子支付挂钩。

这些变化都给电子支付带来了市场机遇,支付企业必须做到“按需支付”。一方面,支付企业要提供一个多元化的支付平台,整合线上、线下多种支付方式,让消费者通过不同的支付终端与商家联通。另一方面,向用户提供围绕支付的增值服务,比如如何帮助商家甚至是整个行业走向电子化,如何优化商家的业务流程,如何帮助商家进行市场推广等。

目前,中国的商家和消费者对电子支付还比较被动,主导需求的仍然是电子支付服务商。电子支付服务商因此承担着诸多重任,包括发掘行业、企业需求,创造性地解决问题,并带动相关行业和企业商业模式的改变。

在安全与需求间取舍

艾瑞咨询对1290位网民进行的网络调研显示,导致网民不使用网上支付最主要的原因,就是担心交易的安全性和可靠性,占到66.1%。其次才是办理过程麻烦、商家不支持网上支付等因素。

安全问题,一直伴随在电子支付的左右。从另一个角度看,人们关于电子支付安全问题展开的异常火热的讨论,也在一定程度上说明已经有越来越多的人或者正在使用电子支付,或者正在关注电子支付,希望能够享受到电子支付带来的快捷生活体验。

篇5

【关键词】 电子商务 支付系统 设计与分析

一、电子商务的定义

随着日新月异的计算机技术的不断发展,运用信息技术把一些商务活动。电子商务也就是利用互联网把各个需要交易的实体变成互联网操作:让买卖双方通过互联网交流和下单,运用网络把信息流、商流、物流、资金流相互结合起来,形成完整的交易。商流就是商业洽谈、下单、售后服务等一系列的交易活动;物流就是商品物资的配送。资金流就是在购物中钱的转移;信息流就是通过互联网把所有的信息公布出来。也就是说,电子商务就是把除了物流以外的其它方面,都通过互联网进行整理整合的一种新型的购物模式

二、电子商务的特点

现代电子产品的发展对人类做出了巨大的贡献,而只要在家下单就可以购物的方式更是给人类带来了方便和快捷,以至于现在对于电子商务系列主要是对一些相关的企业产品的研发更是层出不穷。互联网的不断发展和扩大,让现在的电子商务具有如下的特性。普遍性:互联网的普及让电子商务逐步的发展,变成一种日常消费的新模式;方便性:电子商务没有地方的界限,只要拥有网络,可以二十四小时下单购物,方便快捷;整体性:电子商务运用信息整理技术,把很多不同的内容整合到一起,具有整体性的特征;安全性:电子商务运用多种方式来进行加密,保证购物的安全性,通过例如验证码等方式来进行身份核实;协调性:电子商务把各个信息处理的部门综合到一起,运用信息集中处理的方式来进行整体整合,具有协调性。

三、电子支付系统简介

电子支付系统的起源是依靠于传统支付,传统支付全部是用手工操作,运用银行的网进行核心控制,通过各种形式进行凭证的传递,利用具体的金钱进行结算,这样的方式能够保障安全,同时效率不高。

现在的电子支付系统,是依托于无处不在的互联网,运用电子转账等方式,对于银行之间的具体转账,电子支付是一个复杂的系统,通过人和网的相互结合,形成了一个整体的系统,这种方式方便了网上购物,如果没有电子支付系统,恐怕现在的电子商务没办法发展得如此迅速,创造了新的购物环境,新的购物途径。

电子支付对于传统支付方式有着巨大冲击,电子支付的具体内容没有发生改变,只是中间的媒介改变了,由原先的人进行汇款操作,变成了银行之间的操作,通过互联网进行监督和定位整个交易过程。

电子商务最根本的就是电子支付系统,如果没有电子支付系统,那么电子商务的便捷性就无法体现。现在的大部分电子商务运用的都是安全套接口层SSL协议以信用卡或电子现金等方式进行钱款转移。在一九九七年的时候,几个大型公司对于电子支付系统提供了一个只属于电子商务的电子商务协议SET,这个协议是在互联网的基础下,运用信用卡支付而协商的一种支付方式协议,其中需要发卡银行、支付网关、Internet、电子商店、客户和认证中心等等一系列的支持。

四、物理商品交易支付系统模型假设

根据资料显示,电子商务和传统商务模式有着很大的不同之处,不管是交易的媒介,还是交易的方便程度,都有着巨大差异。

1、交易系统中实体的行为特征

在交易系统中,实体的交易行为能够满足于以下特点:在我们生活中,如果逛街买东西,需要承受较高的管理费等各种费用,一件物品到手中大部分都已经增加了很高的费用。在我们实际生活中,购买物品的时候,物品会通过各种程序,最终到达我们手中,而我们在交易中,往往已经掏了很高的手续费。在我们现实生活中,我们的交易量也较大,并且比较集中。在某一方面,对于一些数据的存储有着很高的要求。这也是我们在交易中,一旦受到损失需要提供的能够解决纷争的一种凭证。

2、电子商务内所进行的交易中,其交易过程特点

(1)可追究性:系统在双方一旦产生纠纷的时候,就会为双方提供足够的证据,也为仲裁机构提供了很多证据。(2)公平性:在交易期间的任何阶段,不管是买卖双方都没办法从系统中占到便宜。(3)原子性:在交易过程中,每一个动作都只有两种程度,就是成功或者失败,能够让买卖双方准确的知道自己的操作结果。(4)交易的时限性:在交易的一方能够对另外一方进行时间上的限定,如果任何一方在规定时间内没有完成此类活动或者操作,另一方就有权收回,并且也能够准确的知道对方的当前状态。

五、物理商品交易付费系统模型

1、系统描述

(1)系统结构。我们在进行的这个系统是运用SET协议来进行实验的,其中包括客户、商家,支付网关(收单银行)、发卡银行、中国金融认证中心(CFCA)和交易公证中心等六部分。我们客户端被称为“持卡人软件”,商家端称作“商家软件”,CFCA端称“证书授权当局”。

(2)系统特点。主要是运用数字加密系统,这样能保障电子支付的安全性和便捷性。运用认证中心的具体理念,CA在电子商务中有着不可缺少的作用。运用自身的资料来核实双方的信息。在整个的交易过程中,都是运用整体的安全性来进行制约,每一次进行的交易,都要有上一步的证书,才能够有下一步的操作。

(3)系统有效性。交易支付曾经提供了电子交易公证中心的相关理论,电子交易公证中心和传统的公正中心相比区别很大:电子交易公证中心是用来区分整个电子交易的可行性和真实性的,传统的中心只能够验证双方的信息真伪,只能够保证双方信息资料,不能够验证整个的交易的安全性。也能够对于交易的内容进行系统的整理,对于今后一旦产生纠纷,也能够在第一时间从中心获得证据,从而让仲裁机构得到赔偿。

2、系统操作流程方案设计

在我们的系统中,交易进行的几个重点阶段是由持卡人注册、商家注册、购买请求付费认证、交易信息公证、付费获得几方面进行的。

首先就是对于持卡人信息核实。持卡人软件就要像证书授权当局进行整体申请,在获得相对应的证书之后。持卡人软件把相关信息储存并且在今后的交易中进行验证。其次是对于商家身份进行验证和注册。同时如果想要处理SET业务,商家要先行的在验证当局进行CA注册。另外,要向CA传输SET消息,商家一定要明白CA的数据交换公钥,这个数据是利用由CA的数据交换公钥证书提供。商家还需要到相关部门获得注册表格等相关内容。最后是买家看到商品并且进行支付购买。在买家对于产品进行了挑选,下单和支付之后,才能够利用整个电子支付系统。要向商家推送SET消息,买家必须知道相关的密匙数据。当买家交换了数据之后SET开始处理相关的订单。买家的信息能够准确的标注在购买的时候,使用了哪种付费方式。最后是付费的验证。在获取到买家的订单之后,卖家可以开始申请付费,中心也会对于买家的指令进行验证。付费得到,在购买到商品在发货之后,卖家像中心提出申请,中心收到指令之后,进行专门款项的冻结,在顾客收到货品的时候,做出相应的指令,之后进行款项的解冻,之后卖家就能够收到这笔款项,从而完成整笔交易,电子支付系统完成。

3、模型分析

(1)第一点方便了像商店解决了证明定购是由信息准确的消费者提供的。具体办法如下:使用数字签名技术,买家在提交订单的时候运用SHA算法或MD5算法得出一组数据,在用这笔数据和自己的数字密匙进行整合,再将自己整个的数字密匙和自己完整的身份证信息提交给商店方面。在线商店,运用自己的密匙解答顾客的数字密匙,之后运用数字密匙和身份证信息来得到数字公匙,从而整体解密。

(2)能够在SET安全协议没有相关数据处理之后,安全的销毁相关数据。这里就是电子交易认证中心一旦双方进行交易成功,那么双方都不能否定这笔业务。电子交易认证中心在有效期内的信息盖上时间戳,在一段时间内保存,如果交易出现问题,那么就可以第一时间提供证据。

(3)在银行接收到在线商店的收款凭证之前,能否要必须收到货物接收凭证的问题。如果一旦在线商店的货品不够优秀,不符合买方需求,那么责任担当的问题。

4、操作流程分析

(1)满足了交易过程的安全需求。首先,支付系统运用数字签名技术和以认证保证保证了买方和卖方之间的双方面的身份核实。其次,在支付系统的信心传输中运用高加密度的方式来进行商业保护和钱款保证。再次,对于交易和付款进行了稳定的安全保证,保证了整个系统的整体构造,安全性能极佳,也是现在的电子商务急缺的安全型电子支付系统。

(2)满足了支付过程的安全需求。在买卖双方和安全平台中间搭建更加安全的第三方平台,能够最大化的实现钱款的安全型。除了买卖双方都不能了解产品资讯,除了银行外其它任何企业和平台不能了解支付内容。对于信息的数字签名和电子交易公证中心的交易确定来防止有他人盗用或者冒用信息,对于信息也提出了一定的要求:首先,支付信息能够安全可靠,不具有争议性,其次,银行能对于支付结果进行保密,外人不能进行篡改和盗用,最后,卖方验证银行的数字签名、买方验证银行的数字签名。

六、结语

本文通过对于整个电子商务和电子支付平台的研讨和构思,想出了一套解决现有电子支付方式不够安全的方法和系统,对于今后的发展有着一定的作用,但是也要明白,所有的电子商务和电子支付系统都需要在后期进行验证,才能够真正的保证整个系统的完整性和可行性,保证数据的真实可靠,希望在今后的支付系统研发中,能够更加注重系统的安全性,毕竟一个安全可靠的系统才是电子商务最基本的要素,也是顾客最基本的要求。

【参考文献】

[1] 王文琴:电子商务概论[M].北京:电子工业出版社,2005(6).

[2] 刘静:浅谈电子商务安全策略[J].长沙大学学报,2005(2).

[3] Alf Roberts:R-commerce/R-business/R-strategy[J].Rngineering Management Journal,2000(12).

篇6

[关键词]电子商务安全风险协议防范

一、引言

Intemet的迅速发展使电子商务应运而生,对电子商务可以有狭义和广义两种理解:作为在线销售的电子商务;作为现有业务扩展的电子商务。电子商务具有许多优势,譬如高效率、低成本;同时,电子商务也会提供各种各样的机会,因为中小型公司和太公司站在相同的起跑线上但迄今为止,真正开始实施电子商务的企业还不多,绝大多数企业还在持观望态度,电子商务通远远谈不上普及。这其中的原因主要有以下三个点:(1)人的因素;(2)立法问题;(3)安全问题。其中信息安全问题可以说是电子商务活动的最大障碍,电子商务信息安全是制约电子商务建设与发展的首要问题和核心问题。

二、电子商务对信息安全的需求和风险分析

信息安全的目的是:保护一个系统不会受到未经授权的访问,使系统的正常工作不会被非法干预,同所有计算机系统一样,电子商务系统安全必须具有保密性、完整性及可用性三个特征。

1.保密性(Confidentiality)

保密性是指计算机系统的资源应该仅能由授权团体读取。对电子商务系统来说,它意味着系统所提供的服务应满足:(1)私有交易不会被其他人截获及读取;(2)如果可能,应确保交易的匿名性,使交易不会被追踪,任何人无法利用“发生交易”这样一个事实本身来达到别的目的。

2.完整性(Integrity)

完整性指资源只能由授权实体修改。电子商务系统的完整性要求它提供的服务应满足:(1)消息完整性,指通信过程中接收到的消息确实是实际发送的消息,不可能在传输过程中被篡改,也不可能是一条伪造的消息;(2)身份认证(Authendcation),通信的双方应能确定对方的身份,知道对方确实是他所自称的那一位。在这里,确定的意思并不完全意味着确实知道对方的身份,因有时由于交易匿名性的需要,不能确知对方的准确身份,但应能做到知道自己是在与一个可靠的对象通信。端否认性(Non-repudiation):一旦事务结束,有关各方都不能否认自己参与过这次事务。

3.可用性(Availability)

可用性指一旦用户得到访问某一资源的极限,该资源就应该能够随时为他使用,而不应该将其保护起来使用户的合法权益受到损害。在电子商务系统中,提高系统可用性有时还意味着用户仅需经一次登录就可以访问任何其他有权访问的资源,避免对访问不同的服务使用不同的登录过程。

4.风险分析

针对电子商务系统进行的攻击实际上就是试图破坏上述三大信息安全特征,进一步细分。电子商务的风险有以下4类:

(1)中断(干扰),包括拒绝服务(DenialofServices)、删除数据。

(2)修改,如修改传输信息、修改可执行代码等。

(3)伪造,如冒充颐客或服务器进行交易、特洛伊木马等。

(4)截取,如设置网络窃听器、监视网上数据流、从数据包中获取敏感信息等。

三、电子商务信息安全的防范策略

1.通用技术

用于保证信息安全的技术通常有:加密、数字签名、身份认证、访问控制、审计以及相关方面的管理。此外,信息安全还将会影响到系统的许多组成部分,包括那些并不直接同安全相关联的成分。各种通用的安全技术,如加密技术算法(保密密钥、公开密钥)、公开密钥系统基础设施(PKI)、各种认证技术(一次性口令、Kerberos、CA)、网络系统各层安全协议(SSL、TLS、IPSEC、PPTP、VPN)、防火墙及保密网关技术等。

2.电子支付协议

在现实生活中,人们一般有3种支付方式:现金、支票及卡,同样,电子支付协议也可分为这3种模式。事实上,它的目标就是使用电子手段来实现日常所进行的交易。一个有效的可能成功的电子支付系统必须被广泛认可,该系统必须保证有关各方不易受到欺骗;此外最为重要的一点是必须方便易行。

(1)基于卡的支付协议

基于卡的支付模式有:明文发送信用卡号码;经保密路径发送信用卡号码;通过第三方进行交易。

上述几种方案是在web商务的早期就采用的,对安全性、可靠性以及抗否认性等方面并没有过多的考虑,支付过程实际上还是非在线的,商家在检验信用卡时往往通过专门的网络同信用卡授权机构联系。这一过程如图1所示。

图1经安全Web服务进行的交易

web交易的发展迫切需要新的支付模式,现在的支付模式大致结构如图2。

在安全电子支付协议中,客户浏览Web页面通过常规HTTP协议进行,当需要进行支付时,浏览器启动-支付模块(通常称为电子钱包E-wallet)处理支付协议。

(2)基于支票的支付协议

支票模型模拟了现实生活中支票的使用。同信用卡模式一样,它也同样需要支票发行机构如银行等来确认支票的有效性。这种模型同银行存取款方式相似,使用借-贷模型,用户需要在支付服务器上开设一个账户,支付服务器维护账目的绝对平衡。

(3)基于现金的支付协议

在交易中,有时会希望交易能匿名进行,即无法对交易过程进行追踪,无法确认交易者的身份。卡和支票模式都不能满足这样的需求,而基于现金的支付模式模拟了日常现金的使用,可以做到这一点。

多数电子现金的实现的思想:每一枚电子硬币都有一个编号。银行维护若干密钥对,每一对密钥可用于对某种特定面值的硬币进行签名。但如果硬币是由银行生成并交给用户的话,它可以记录下每枚硬币的去向,从而当这枚硬币用于支付时可以跟踪到用户的交易。而盲签名机制可以允许用户自己生成硬币.让银行对这枚硬币标定面值。如当用户从银行提款时,他先为硬币随机生成一个很大的编号,然后利用盲签名机制,银行可以用代表不同面值的密钥对这救硬币进行签名,从而标定硬币的面值。由于序号很大(大于200位数字),重复的概率可以忽略不计,再加上盲签名让银行无法知道硬币的编号,也就不可能将它记录下来。

同时,必须要有一种机制来保证电子硬币不被重复使用。鉴于无法控制远程用户对电子现金的复制,提出了一种依靠处罚措施来禁止重复消费这一行为,引人一种“盲记录”的机制,第一次使用电子硬币时,无法进行跟踪,而如果重复使用,就有足够多的信息能查出使用者的账户信息.从而采取相应的反措施。

篇7

(郑州大学西亚斯国际学院,河南 新郑451150)

中图分类号:F713.36文献标识码:A文章编号:1673-0992(2009)09-076-01

摘要:从电子支付系统的概念入手,介绍了几种常用的电子支付手段,并阐述了两种重要的电子商务安全协议在电子支付系统安全中所起的作用。 同时结合信用卡的支付流程分析了电子支付的过程和相关的安全问题。除此之外,本文还阐述了数字证书和数字签名的原理。

关键词:电子支付系统;数字证书;数字签名

一、电子商务服务蓬勃发展

电子商务出现四十多年了,但是它真正蓬勃发展起来也就是最近十几年的事情。虽然电子商务发展非常快,但有很多障碍限制了电子商务的进一步发展。安全性是其中一个主要的瓶颈。对计算机系统的很多威胁(中断、拦截、改变和伪造)都是利用计算机系统的脆弱性对系统进行攻击造成的。 目前,消费者对电子交易的安全性是非常关注的,但是事实上,和传统的纸质交易相比,只要采用适当的技术和相关法律政策来保护消费者,电子支付系统是方便的,可靠的和安全的。

二、电子支付系统综览

电子支付系统可以定义为在开放的网络中使用多种支付手段,例如电子资金划拨、智能卡、电子支票和电子信用卡等进行电子交易的方式。 目前在电子支付系统中有两个重要的安全协议SSL (安全套接层协议) 和SET(安全电子交易协议)。SSL 协议的目的是在两个沟通方之间提供保密和可靠性。这个协议包含两层。SSL 纪录层协议位于最低层,并且它用作多种高层次协议的封装。握手协议就在这些被封装的协议之中,它允许服务器和客户机之间相互认证,并且在应用协议发出和收到第一个数据之前协商加密算法和加密密钥,这样做的目的就是保证应用协议的独立性,使低级协议对高级协议是透明的。SSL协议拥有三个主要的安全特性:数据的保密性;数据的一致性;安全验证。SET是在开放网络环境中的支付安全协议,它采用了公钥密码体制(PKI)和X.509电子证书标准,通过相应软件、电子证书、数字签名和加密技术能在电子交易环节上提供更大的信任度、更完整的交易信息、更高的安全性和更低受欺诈的可能性。 SET协议用于支持B2C这种类型的电子商务模式,即消费者持卡在网上购物与交易的模式。

三、电子支付系统安全措施

由于电子支付的方式很多,在此仅以信用卡为例介绍一下其中的安全问题。下面阐述一下使用信用卡进行电子支付的过程。这个过程可能会根据信用卡集团、发卡行、收单行之间的协议而有所不同。在这个过程中主要的步骤包括:发卡行颁发一张信用卡给一个潜在的持卡人。一个潜在的持卡人向一个发卡行(持卡人最好在发卡行有一个账号)申请发行一张有信用卡公司标志的信用卡。发卡行有权根据申请人的资质批准或拒绝申请。如果得到批准,一张塑料卡片被通过邮件寄到客户的家中。只要客户打电话给银行启用该信用卡并在卡的背面签上客户的名字,该卡片就能被激活;不论何时客户刷卡消费,商家经过信用卡公司批准,交易通过信用卡支付。商家保留购货单并将购货单卖给收单行并且为此支付一定的服务费用;收单行要求信用卡公司结算货款并得到付款,然后信用卡公司要求发卡行结算;货款从发卡行转移到信用卡公司。在还款期内,同样的数量从持卡人在发卡行的账号中扣除。在以上过程中,信息的传递要经过对称密钥和非对称密钥的加密以保证信息传递的安全性,并通过数字证书来确认商家、银行和执卡人的身份,充分保证了整个交易过程的安全性。

四、数字证书的使用

目前网络欺诈现象的屡屡发生。因此,在买卖双方交易时,必须鉴别对方的可信度。通常的方法是设立一个类似于公证处的第三方认证机构,来认证买卖双方的身份。其基本原理和流程是:在做交易时,应向对方提交一个由CA(Certificate Authority)签发的包含个人身份的证书,以使对方相信自己的身份。客户在申请证书时,可提交自己的身份证明,经验证后,颁发证书,证书包含客户的名字和他的公钥,以此作为网上证明自己身份的依据。在网上交易中,最重要的证书是持卡人证书和商家证书。此外,还有支付网关证书、银行证书和发卡机构证书。CA的主要功能有:接收注册请求,处理、批准拒绝请求,颁发证书。在实际中,CA可以由大家都信任的一方担当。中国建设银行的网银盾就是数字证书的一个典型的例子。为了保障网上银行客户证书的安全性,建行推出了“电子证书存储器”,即“网银盾”,可以将客户的证书专门存放于盘中,随插随用。目前建行的网银盾类型是预制证书型网银盾。如果连续输入错误口令10次,网银盾便会自动锁定,用户只能重新申请新的网银盾。预制证书网银盾是指在柜台签约购买的网银盾内,已预先存有建行发放的数字证书,用户可凭此安全便捷地享受建行网上银行的服务。

五、数字签名的使用

数字签名是公开密钥加密技术的另一类应用,用DES算法、RSA算法都可实现。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(或报文摘要)。发送方用自己的私有密钥对这个散列值进行加密来形成发送的数字签名。然后这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别,保证信息传输过程中信息的完整和提供信息发送者的身份认证和不可抵赖性。

六、结论

综上所述,电子商务发展迅速,电子支付系统的安全性制约了电子商务的进一步发展。使用数字签名和数字证书可以实现对各方的认证;使用加密技术可以对业务进行加密;使用消息摘要算法可以确认业务的完整性;SSL和SET协议为电子商务交易的安全进行提供了商业实现标准。所有这些措施都有效地保证了电子支付系统的安全性。

参考文献:

[1] Turban Lee. 电子商务管理视角(第四版),高等教育出版社,2006

[2] 中国建设银行.安全策略方案, 2009,http:.cn

[3] 黄敏学. 电子商务(第二版),高等教育出版社,2005

篇8

[关键词]电子商务 支付

随着社会经济与信息技术的不断发展,人们对支付系统的运行效率和服务质量的要求也越来越高,促使支付系统不断从手工操作走向电子化、网络化。在线电子支付是电子商务的关键环节,也是电子商务得以顺利发展的基础条件。没有合适的电子支付手段相配合,这样的电子商务只能是一种电子商情、电子合同或者初始意义上的电子商务。电子商务的一个极重要的观念,是在进行付款、信用借贷及债务清偿过程中,能获得即时、方便且安全的服务、将商品销售与服务的付款行为整合在电子销售网,预期为业务者带来更广阔的新商机。

所谓电子支付,是指进行电子商务交易的当事人,包括消费者、厂商和金融机构,使用安全电子支付手段通过网络进行的货币支付或资金流转。

由于电子商务发展异常迅速,大量的新问题、新情况不断出现,关于安全与支付方面的技术体系尚未完善,目前电子商务在支付方面主要存在以下问题:

一、支付工具效力问题

信用卡的支付已经比较普遍,现实社会中应用也比较普遍,其效力已经得到充分认可。网上银行,实质上就是现实银行在网上业务的拓展和延伸,随着网络技术的逐渐成熟,网上银行变得更快捷、方便、安全。广大零散个人客户更倾向采用这种方法,对于银行而言,随着个人收入的不断提高,个人客户与企业客户已经逐渐占到了同等重要的地位,面对如此巨大的个人金融市场,网上银行是最节约、最有效、最有接近小额零售业务客户的一种手段。由于客户与银行都会积极推进网上银行的建设,其效力一般不会出现问题。但电子支票和电子现金,因为其与传统法律具有一定抵触,其效力存在一定争议。

1.电子支票的效力问题

我国现在电子支票应用极为有限,主要原因是受到我国《票据法》的制约,电子支票的法律地位难以得到确认,使银行望而却步。我国《票据法》第四条规定,“票据上的签章,为签名、盖章或者签名加盖章。”目前,我国国内银行所辖的分支机构和联网分行之间,为客户提供通存通兑服务。为了实现通存通兑,各个银行一般规定,出票人必须在支票上使用数码印签,原来加盖在支票上的图章印签不再作为识别出票人的标记,电子计算机只按照数码印签确认出票人授权指令的有效性。因此,在票据法中承认数字签名的合法性是一个非常紧迫的问题。

2.电子现金的法律地位

电子现金其实与现实货币一般没有什么不同,是一般等价物的一种表现形式,但其法律地位一直难以确定。这是因为按照货币的实质和网络无国界性来推断,各国中央银行的地位都将受到挑战,因为任何一个有实力、有信誉的全球性公司,都可以发行购买其产品或服务的数字化等价物,从而避开银行的繁琐手续和税收。而这会扰乱一国的金融秩序,任何国家都不会允许。但随着电子现金技术的不断成熟,其又具有网络化的方便性、安全性、秘密性,所以电子现金的发展优势是不可阻挡的。关键是要在法律方面进行调整:

第一,限制电子现金的发行人。目前情况下,可只允许银行发行电子现金,这样,许多现行的一些货币政策和法规可以应用于电子现金,而无需太大的改动。当电子商务环境成熟时,再扩展到有实力和有信誉的大公司和网络服务提供商。

第二,建立合理的电子现金识别制度。发行统一的电子现金是不可能的。所以必须建立合理的电子现金识别制度。

二、税收与洗钱

由于电子现金可以实现跨国交易,税收和洗钱将成为潜在的问题。现在,通过互联网进行跨国交易时的国际税收问题已经发生,将来会更加突出,为了解决这个问题,国际税收规则必须进行调整。此外由于电子现金不像真实的现金一样,流通时不会留下任何记录,税务部门很难追查,所以即使将来调整了国际税收规则,由于其不可跟踪性,电子现金很可能被不法分子用以逃税。

电子现金使洗钱也变得很容易。因为利用电子现金可以将钱送到世界上的任何地方而不留痕迹,如果调查机关想要获取证据,需要检查网上所有的数据并破译所有的密码,这几乎是不可能的。目前惟一的办法是建立一定的密钥托管机制,使政府在一定条件下能够获得私人的密钥,而这又会损害客户的隐私权,但作为预防洗钱等违法行为的措施,许多国家已经开始了这种做法。

三、网络安全问题

消费者的个人信息存储在银行,如果银行的网络遭到攻击,私人信息可能会泄漏,若补救不及时,很可能给消费者造成巨大损失。所以,应从法律上和技术上共同防止黑客攻击。

新的世纪,电子支付系统将会改变我们的生活方式以及贸易方式。在世界各地,电子支付系统正在运行当中并取得了极大的成功,得到众多用户和系统运营商的青睐。未来的电子支付必然涉及与金融领域相关的银行、证券、保险、邮电、医疗、文体娱乐和教育等众多行业,市场潜力巨大。而随着计算机和通信技术的发展,未来将通过因特网构造更加快捷灵活的电子支付系统。实施电子货币、提供安全中介服务和金融卡加密都是目前的技术热点。

篇9

目前,移动支付迅速发展,据全球技术研究和咨询公司Gartner数据显示,2009年至2012年全球移动支付用户数复合增长率达到了44.73%,预计2014年全球移动支付交易额将达到3 252亿美元。使用人数将从2013年的24 520万人增加到29 110万人。

从我国情况看,移动支付业务目前保持高位增长。根据央行的数据,2013年全国共发生电子支付业务257.83亿笔,金额1 075.16万亿元,同比分别增长27.40%和29.46%。其中移动支付业务16.74亿笔,金额9.64万亿元,同比分别增长212.86%和317.56%(如表1),是电子支付领域中增长最快的部分。

表1中国2013年电子支付数据

支付方式 笔数/

亿笔 笔数同比涨跌幅度/% 金额/

万亿元 金额同比涨跌幅度/%

网上支付 236.74 23.06 1 060.78 28.89

电话支付 4.35 -6.95 4.74 -8.92

移动支付 16.74 212.86 9.64 317.56

资料来源:中国人民银行2014年2月的《2013年

支付体系运行总体情况》。

前两年困扰我国移动支付发展的安全问题、标准化问题以及各方合作健康发展的三大核心问题,随着13.56MHz的NFC成为产业标准,标准化基本已走上正轨。合作方能双赢的经营理念使得无论是电信运营商、金融机构,还是第三方支付业务提供商都开始寻求各种合作的渠道。唯有安全问题是目前亟需解决的问题,它关系到移动支付今后能否更好更快地发展问题,也关系到我国的信息化进程问题。

1 移动支付中的安全问题

我国虽然已在2013年建成了移动金融安全可信公共服务平台,但信息安全问题仍然是人们利用移动支付的最大隐忧。

(1)手机安全事件呈爆发增长态势

随着移动支付的快速发展,手机安全问题进入全面爆发阶段。移动支付是基于手机号绑定的银行卡、信用卡与商家之间完成支付,或者基于手机SIM卡与POS机近距离完成。因此,密码破解、信息复制、病毒感染等都有可能对移动支付造成重大的损失。据《2013年中国手机安全状况报告》揭示,2013年Android平台新增恶意程序样本67.1万个,较2012年增长4.4倍;用户感染恶意程序9 747万人次,较2012年增长88.3%。其中资费消耗、恶意扣费、隐私窃取和诱骗欺诈类恶意程序的感染量最高,分别占到感染人次数总量的46%、21%、21%和8%。还有一些内置的软件大量吞噬手机流量。用户手机感染恶意程序后面临直接经济损失的可能性达到了近70%。手机安全问题的类型及其比例中,在手机支付环节发生的安全事件占3.7%。目前,收购支付宝信息、伪造身份证、持假证办理手机卡、盗取支付宝账户余额,整个过程已形成一条犯罪产业链。相关调查显示,70%网民对上网危险表示担心,其中25%用户感到“非常担心”。

(2)安全问题成为制约移动支付发展的最大障碍

移动支付作为新兴支付方式,无论是提供方还是客户都要考虑支付过程中所涉及环节的安全性问题:手机丢失、被盗、受黑客入侵、网络瘫痪、误操作之后,如何保证包括银行卡信息在内的资料不被泄露或资产不翼而飞?如何在终端、账户、业务交易等环节进行支付确认,保障通信安全?进入2013年以来,以拦截和窃取交易短信为目标的手机木马迅速泛滥,最典型的是名为“隐身大盗”的Android木马家族。仅2013年11月,境外木马或僵尸程序控制境内服务器就接近90万个主机IP。

截至2013年12月,中国手机网民规模已达5亿,年增长率为19.1%。虽然手机网民增长较快,但移动支付用户仅占手机网民的25.1%(图1)。2013年,通过手机网络购物用户规模达到1.44亿。目前,作为世界ICT发展指数第1位的韩国,其移动支付用户几乎占手机用户的90%。而2012年中国ICT发展指数仅为78位。基于安全考虑,我国目前应用的移动支付无论是近场支付还是远程支付基本属于小额支付范围内。以招行的手机钱包为例,支付的金额上限仅为1 000元。安全问题让许多消费者不敢启用移动支付,这也阻碍了信息化的发展进程。

(3)用户心理上的障碍

Forrester Research在调查中发现只有低于15%的人完全信任移动支付,而65%的用户拒绝通过移动网络发送自己的支付卡资料。全球最大的比特币交易平台MtGox由于系统漏洞损失大量比特币、比特币网站Flexcoin的比特币被黑客洗劫一空,使大多数手机网民对移动支付心有余悸。据2013年中消协《信息消费与安全调研报告》显示,用户对信息安全满意度非常低,在10分的满分中,用户满意度的平均分仅为3.7分。因此,移动支付要想取得成功,除了解决实际的安全问题,还要克服用户的心理障碍。

2 促进移动支付发展的对策建议

移动支付是信息化的重要组成部分。移动支付安全问题的解决,不仅使消费者增强信心,减少业务运营中出现的欺诈问题,降低系统运营成本,而且可以进一步加快我国信息化步伐。

(1)亟需建立移动金融监管制度

我国在移动金融领域的监管几乎是一片空白。金融活动中的消费者保护关系到移动支付的发展,也威胁到整个产业链的发展。针对移动支付业务中涉及的实名制管理、资金安全、软件安全、风险防控和消费者权益保护等核心问题,应采取必要的防范措施;建立国家级的征信中心,将涉及移动支付的互联网公司、第三方支付公司、电信运营商纳入管理,明确基本准则和责权体系,加强安全软件产品和服务的监管。移动支付的监管体系建设应做到以下四个方面:①定身份:由支付提供方对用户身份进行鉴别,确认其是否为已授权用户;②保密性:保证未被授权者不能获取敏感支付数据;③数据完整性:保证支付数据在用户同意交易处理后不会被更改。④不可否认性:避免交易完成后交易者不承担交易后果。

(2)将网络安全战略提升为国家战略

网络安全作为一种社会公共产品必须由政府提供。网络安全是国家安全的重要组成部分,也是社会繁荣和发展的基石,确保网络安全不是一个单纯的技术问题。“9.11”事件使信息安全战略成为美国的核心战略,开始从国家战略高度规划网络安全基础设施建设。我国于2014年2月成立了中央网络安全和信息化领导小组,将信息网络安全纳入国家安全战略。虽然比美国延迟了13年,但毕竟由此勾勒出网络安全与国家安全及信息化发展的内在联系。

(3)企业间的协同合作

移动支付涉及到用户、商户、第三支付平台、银行及手机厂商等多方面利益关系,移动支付安全问题不是孤立的。安全系统的维护,需要上下游企业之间充分协同合作,资源共享,才能保证整个支付体系的安全,才能让用户解除对移动支付安全性的担忧。

篇10

[关键词]电子支付安全技术分析

一、电子支付的概念

随着互联网的迅猛发展,网络商务作为一种新的贸易形式正在逐渐被引入成为商务的一种大发展趋势,网上金融服务也已经开始在世界范围内如火如荼地开展起来。网络金融服务包括人们的各种需求,如网上消费、家庭银行、个人理财、网上投资交易、网上保险等。这些金融服务的特点是通过电子货币进行网上电子支付与结算。“电子支付”,顾名思义是通过网络进行货币支付。“电子支付”就是电子商务发展的一个关键环节。电子货币是利用银行的电子存款系统和各种电子清算系统记录和转移资金的。电子货币的优点是明显的,彻底地改变了银行传统的手工记帐、手工算帐、邮寄凭证等操作方式,使用和流通更方便,而且成本低,尤其是大笔的资金流动。同时,电子货币的广泛使用也给普通消息费在购物、饮食、旅游和娱乐方面的付款带来了更多的便利。

目前,电子支付工具主要包括:电子现金、电子零钱、安全零钱、电子信用卡、智能卡(IC卡)、在线货币、数字货币和网络货币等。其支付信息是通过安全的网络传送到网络银行或相应的处理机构来实现电子支付。电子货币最大问题是安全问题,电子货币没有具体的实物形态,完全凭借计算机里的记录。那么,一旦银行计算机系统出现故障,或遭受恶意攻击就可能造成数据丢失、篡改,产生严重的后果。

由于网络环境的开放性、信息传递的快捷性,电子支付手段的应用,大大丰富和提高了商品交易的营销宣传,扩大了贸易范围、增加了贸易伙伴参与、沟通和交易机会,使企业的经营范围扩大,商务效率和效益提高。但电子商务带来效益的同时,也伴随着全新的商业风险,即存在交易,总会有风险存在。

二、电子支付不安全因素分析

从我国当前的电子支付实践来看,由于开展网络银行业务的支付业务时间短,结合具体国情在中国实施电子商务支付存在的问题主要有如下几点:

1.社会信用度欠缺,制约电子支付系统的发展

互联网具有充分开放的特点,网上交易双方互不见面,交易的真实性不易考察和验证,对社会信用有较高要求。我国目前的信用体系发展程度低,经济活动缺乏可靠的信誉基础,社会诚信观念有待加强。另外,企业和个人客户资信资料零散不全,海关、税务等部门与银行信息不能共享,银行对客户的资信情况不能完全了解,也制约了电子商务支付系统的发展。

2.经济法律体系不健全,执法环境权威性欠佳

目前国内有关法律法规对网上交易的权利和义务规定不清晰,缺乏网络消费和服务权益保护管理规则,没有专门的法律来规范网络银行的经营和使用。特别是在客户信息披露和隐私权保护方面,还缺乏比较成熟的经验,在出现争端时,责任的认定、划分、仲裁结果的执行等法律问题在现有法律框架下难以解决。另外,我国网络银行的信息跟踪、检测、信息报告交流制度的相关法律规则都未建立,在利用网络签订经济合同、提供金融服务和保护银行与客户双方权利的过程中存在诸多尚待改进之处。如网络提供商的侵权行为:(1)互联网服务提供商(ISPInternetServiceProvider)的侵权行为:①ISP具有主观故意(直接故意或间接故意),直接侵害用户的隐私权。例:ISP把其客户的邮件转移或关闭,造成客户邮件丢失、个人隐私、商业秘密泄露。②ISP对他人在网站上发表侵权信息应承担责任。(2)互联网内容提供商(ICPInternetContentProvider)的侵权行为。ICP是通过建立网站向广大用户提供信息,如果ICP发现明显的公开宣扬他人隐私的言论,采取放纵的态度任其扩散,ICP构成侵害用户隐私权,应当承担过错责任。(3)由于电子现金可以实现跨国交易,税收和洗钱将成为潜在的问题。现在,通过互联网进行跨国交易时的国际税收问题已经发生,将来会更加突出,为了解决这个问题,流通时不会留下任何记录,税务部门很难追查,所以即使将来调整了国际税收问题,由于不可跟踪性,电子现金很可能被不法分子所逃税。电子现金使洗钱变得很容易。因为利用电子现金可以将钱送到世界上的任何地方而不留痕迹,如果调查机关想要获取证据,需要检查网上所有的数据并破译所有的密码,这几乎是不可能的。目前惟一的办法是对立一定的密钥托管机制,使政府在一定条件下能够获得私人的密钥,而这又会损害客户的隐私权,但作为预防洗钱等违法行为的措施,许多国家已经了这种做法。

3.银行内部决策机制不畅通,国际化程度低

国内网络银行决策大体分为两种,一种是由传统银行业务人员负责制定发展规划,另一种是由技术人员决定网络银行的发展方向。两种决策模式都需要业务、管理和技术的有机结合,问题的关键在于两种模式中,不论是业务人员还是技术人员,基本都从事实务工作,成对当前自己着手的工作情况很了解,但对业务发展缺乏高瞻远瞩。

4.技术上存在许多问题,存在潜在的高风险

由于国内银行的关键部件依赖于国外公司,网络客户端到服务端的电脑又都储存着重要的信息,因此信息资料被修改和破坏的概率不可低估。国内银行重视硬件的采购和网络的构建,对技术人员的业务培训还不够,基层银行普遍存在技术人员知识更新缓慢的现象。国外网络银行对一些敏感的数据通常采取严格的保护措施,而国内银行界目前缺乏机密信息的加密存储意识,部分银行没有建立交易业务数据的管理制度,无法对交易业务数据实施严格的安全保密管理。致使出现商业组织的侵权行为和个人的侵权行为以及部分软硬件设备供应商的蓄意侵权行为。如专门从事网上调查业务的商业组织进行窥探业务,非法获取他人信息,利用他人隐私。大量网站为广告商滥发垃圾邮件。利用收集用户个人信息资料,建立用户信息资料库,并将用户的个人信息资料转让、出卖给其他公司以谋利,或是用于其他商业目的。如个人未经授权在网络上宣扬、公开、传播或转让他人、自己和他人之间的隐私;个人未经授权而进入他人计算机系统收集、获得信息或骚扰他人;未经授权截取、复制他人正在传递的电子信息;未经授权打开他人的电子邮箱或进入私人网上信息领域收集、窃取他人信息资料。如某些软件和硬件生产商在自己销售的产品中做下手脚,专门从事收集消费者的个人信息的行为。例如,某公司就曾经在其生产的某代处理器内设置“安全序号”,每个使用该处理器的计算机能在网络中被识别,生产厂商可以轻易地收到用户接、发的信息,并跟踪计算机用户活动,大量复制、存储用户信息。网络所有者或管理者的监视及窃听。对于局域网内的电脑使用者,某些网络的所有者或管理者会通过网络中心监视使用者的活动,窃听个人信息,尤其是监控使用人的电子邮件,这种行为严重地侵犯了用户的隐私权。

三、针对电子支付不安全的对策研究

电子支付的信息安全在很大程度上依赖于网络信息安全技术的完善,这些技术包括很多,其中有密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、系统安全监测报警技术等等,针对这些技术上的问题,应该用技术和法制人制方面来解决,为此我提出如下解决方法:

1.对电子支付安全性的全面认识

通过因特网上进行电子支付,最核心的问题是安全问题,我们要解决安全问题,主要通过数据传输真实性主要用数字证书来解决,机密性主要用数据加密来解决,完整性主要用消息摘要来解决,不可否认性主要用数字签名和事件日志来解决。利用密码技术,并通过上边所述的解决方法,人们也制定了很多电子商务协议,用其来达到完成电子商务交易(包括电子支付)的目的。本人认为可以从以下几方面来解决安全性问题:(1)可以通过架设防火墙,它是近来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络。(2)还可以通过数据加密技术来。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。(3)数字签名技术。数字签名技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整、不可否认服务中都要用到数字签名技术。(4)数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。(5)还可以通过设置电子商务信息安全协议来进行。现有的电子商务交易协议有多种,但是目前常用的只有SSL和SET两种。①安全套接层协议(SecureSocketsLayer,SSL),SSL是由NetscapeCommunication公司1994年设计开发的,主要用于提高应用程序之间的数据的安全系数。SSL的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。②安全电子交易公告(SecureElectronicTransactions,SET)。SET是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。③安全超文本传输协议(S-HTTP)。依靠密钥的加密,保证Web站点间的交换信息传输的安全性。SHTTP对HTTP的安全性进行了扩充,增加了报文的安全性,是基于SSL技术上发展的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。④安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开,以提高安全控制能力。⑤UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。(6)P2P技术与网络信息安全。P2P(Peer-to-Peer,即对等网络)是近年来广受IT业界关注的一个概念。P2P是一种分布式网络,最根本的思想,同时它与C/S最显著的区别在于网络中的节点(peer)既可以获取其它节点的资源或服务,同时,又是资源或服务的提供者,即兼具Client和Server的双重身份。一般P2P网络中每一个节点所拥有的权利和义务都是对等的,包括通讯、服务和资源消费。隐私安全性:①目前的Internet通用协议不支持隐藏通信端地址的功能。攻击者可以监控用户的流量特征,获得IP地址。甚至可以使用一些跟踪软件直接从IP地址追踪到个人用户。SSL之类的加密机制能够防止其他人获得通信的内容,但是这些机制并不能隐藏是谁发送了这些信息。而在P2P中,系统要求每个匿名用户同时也是服务器,为其他用户提供匿名服务。由于信息的传输分散在各节点之间进行而无需经过某个集中环节,用户的隐私信息被窃听和泄漏的可能性大大缩小。P2P系统的另一个特点是攻击者不易找到明确的攻击目标,在一个大规模的环境中,任何一次通信都可能包含许多潜在的用户。②目前解决Internet隐私问题主要采用中继转发的技术方法,从而将通信的参与者隐藏在众多的网络实体之中。而在P2P中,所有参与者都可以提供中继转发的功能,因而大大提高了匿名通讯的灵活性和可靠性,能够为用户提供更好的隐私保护。

2.建立可靠的电子支付信用体系

电子商务作为一种商业活动,信用同样是其存在和发展的基础。电子商务和信用服务都是发展很快的新兴领域,市场前景广阔。从二者的关系看,一方面,电子商务需要信用体系,而信用体系也很可能最先在电子商务领域取得广泛的应用并体现其价值。因为电子商务对信用体系的需求最强,没有信用体系支持的电子商务风险极高;而在电子商务的基础上又很容易建立信用体系,电子商务的信息流、资金流、物流再加上电子签章,四者相互呼应交叉形成一个整体,在这个整体之上,只要稍加整合分析,进行技术处理就可以建立信用体系,并且该信用体系对电子商务是可控的。于是,整合电子商务与信用体系,或者建立电子商务的信用体系,就成为一种需求、一种目标、一项任务。为了使诚信体系能在电子支付系统中使用,本人研究了P2P技术,为了使P2P技术能在更多的电子商务中发挥作用,必须考虑到网络节点之间的信任问题。实际上,对等诚信由于具有灵活性、针对性并且不需要复杂的集中管理,可能是未来各种网络加强信任管理的必然选择。对等诚信的一个关键是量化节点的信誉度。或者说需要建立一个基于P2P的信誉度模型。信誉度模型通过预测网络的状态来提高分布式系统的可靠性。一个比较成功的信誉度应用例子是在线拍卖系统eBay。在eBay的信誉度模型中,买卖双方在每次交易以后可以相互提升信誉度,一名用户的总的信誉度为过去6个月中这些信誉度的总和。eBay依靠一个中心来管理和存储信誉度。同样,在一个分布式系统中,对等点也可以在每次交易以后相互提升信誉度,就象在eBay中一样。例如,对等点i每次从j下载文件时,它的信誉度就提升(+1)或降低(-1)。如果被下载的文件是不可信的,或是被篡改过的,或者下载被中断等,则对等点i会把本次交易的信誉度记为负值(-1)。就象在eBay中一样,我们可以把局部信誉度定义为对等点i从对等点j下载文件的所有交易的信誉度之和。每个对等点i可以存贮它自身与对等点j的满意的交易数,以及不满意的交易数,则可定义为:Sij=sat(i,j)-unsat(i,j)

信用体系可以说是一种最为灵活且最有可能与电子商务本身实现良性互动的规范模式,它可以无处不在,同时,却能做到大相无形。正如我们前面分析的,由于电子商务与信用体系在本质上的一致性,它们可以很容易地做到无缝连接,这种无缝连接所带来的效率和便捷正是电子商务所必需的。而在行政管理及法律制裁中,我们发现,要实现它们与电子商务的无缝连接还是十分困难的。

3.加强法制人制上的管理力度

(1)我国电子支付安全管理除现有的部门分工外,还需要建立建立合理的电子现金识别制度,发行统一的电子现金是不可能的,所以必须建立合理的电子现金识别制度。

(2)限制电子现金的发行人。目前情况下,可以只允许银行发生电子现金。这样,许多现行的一些货币政策和法规可以应用于电子现金,而无须太大的改动。当电子商务环境成熟时,再扩展到有实力和有信誉的大公司和网络服务提供商。

(3)消费者的个人信息存储在银行,如果银行的网络遭到攻击,私人信息可能会泄露,若补救不及时时,很可能给消费者造成巨大损失。所以,应从法律上和技术上共同防止黑客攻击。

(4)在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。加快立法进程,健全法律体系。

(5)结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使电子商务陷于困境,这就必须建立网络风险防范机制。建议网络经营者可以在保险标的范围内允许标保的财产进行标保,并在出险后进行理赔。

(6)进行网络技术创新,重点研究关键芯片与内核编程技术和安全基础理论,以创新的思想,建立具有中国特色的信息安全体系。建立统一的技术规范,把局部性的网络就进行互连、互通、互动。目前,国际上出现许多关于网络支付安全的技术规范、技术标准,目的就是要在统一的网络环境中保证在电子支付中的个人隐私信息的绝对安全。我们应从这种趋势中得到启示,在同国际接轨的同时,拿出既符合国情又顺应国际潮流的技术规范。

参考文献:

[1]屈云波:电子商务[M].北京:企业管理出版社,1999

[2]赵立平:电子商务概论[M].上海:复旦大学出版社,2000

[3]赵战生:我国信息安全及其技术研究[J].中国信息导报,1999,(8)

[4]曹亦萍:社会信息化与隐私权保护[J].政法论坛,1998,(1)

[5]林聪榕:世界主要国家信息安全的发展动向[J].中国信息导报,2001,(1)

[6]胡淑红:论电子商务中网络隐私安全的保护,,2007,3,14